Tout ce que vous devez savoir sur l’attaque CCleaner Malware

La nouvelle a révélé qu'une version infectée du populaire PC et du logiciel d'optimisation Android CCleaner a propagé des logiciels malveillants à un grand nombre d'utilisateurs d'ordinateurs.. La révélation a été diffusée pour la première fois sur le Web lundi matin, lorsque le développeur du logiciel Piriform a publié un article de blog sur le sujet. La bonne nouvelle est que seules les personnes exécutant CCleaner sur des systèmes Windows 32 bits ont été affectées.

Depuis le début de l'histoire, la société de sécurité informatique Avast a annoncé que jusqu'à 2,27 millions d'utilisateurs de CCleaner pourraient avoir été affectés par le malware caché dans les versions officielles du célèbre logiciel d'optimisation des performances du PC. Depuis lors, les recherches de Cisco ont révélé que le nombre réel d'infections est inférieur, à environ 700 000 PC.

Selon le blog de Piriform, des copies infectées de CCleaner ont été diffusées entre le 15 août et le 12 septembre. Piriform dit que les versions de son logiciel qui ont été compromises sont CCleaner 5.33.6162 et CCleaner Cloud 1.07.3191.

Piriform exhorte tous les utilisateurs de CCleaner à télécharger la version 5.34 ou supérieure dès que possible. Il est à noter que les utilisateurs de CCleaner Cloud auront reçu la mise à jour automatiquement. Cependant, d'autres utilisateurs de CCleaner peuvent toujours exécuter la version compromise, donc la mise à jour manuelle est extrêmement importante pour ces consommateurs.

On ne sait pas encore comment les pirates ont réussi à cacher le code malveillant dans la version officielle de CCleaner. Extrait du blog de Piriform:

«Nous avons constaté que la version 5.33.6162 de CCleaner et la version 1.07.3191 de CCleaner Cloud avaient été modifiées illégalement avant d'être publiées, et nous avons lancé un processus d'enquête. Nous avons également immédiatement contacté les unités chargées de l'application des lois et travaillé avec elles pour résoudre le problème. »

"Non sensible" Données volées

Jusqu'à présent, Piriform a pu vérifier que le logiciel malveillant communiquait avec un serveur de commande et de contrôle (CnC) situé aux États-Unis. Les pirates semblent avoir utilisé le malware pour récolter ce que l'entreprise décrit comme des données «non sensibles».

Ces données comprennent le nom de l'ordinateur de l'utilisateur, son adresse IP, une liste complète des logiciels installés sur sa machine, une liste des logiciels actifs et une liste des cartes réseau. Piriform a informé les utilisateurs que:

"Nous n'avons aucune indication que d'autres données ont été envoyées au serveur.

«En collaboration avec les forces de l'ordre américaines, nous avons provoqué la fermeture de ce serveur le 15 septembre avant tout dommage connu. Cela aurait été un obstacle à l’enquête de l’organisme chargé de l’application des lois d’avoir rendu cela public avant la désactivation du serveur et nous avons terminé notre évaluation initiale. »

Avast

Implication d'Avast

Fait intéressant, le géant de la sécurité Avast (qui fournit des produits de sécurité aux utilisateurs d'ordinateurs du monde entier) n'a acquis que récemment le développeur de CCleaner, Piriform. Cette acquisition a été finalisée il y a seulement deux mois, en juillet 2017. Pour cette raison, le moment de l'attaque est un peu effrayant, pour dire le moins. Le fait que le logiciel malveillant soit parvenu à une version officielle de CCleaner avant sa publication au public pourrait signifier que le pirate informatique travaillait de l'intérieur. Seul le temps nous le dira.

Un porte-parole au nom d'Avast a fait les commentaires suivants:

«Nous pensons que ces utilisateurs sont désormais en sécurité, car notre enquête indique que nous avons pu désarmer la menace avant qu'elle ne puisse faire de mal.

«Nous estimons que 2,27 millions d'utilisateurs ont installé les logiciels concernés sur des machines Windows 32 bits.»

Quelques bonnes nouvelles

Malgré une estimation initiale importante des infections, il semblerait que Piriform ait été assez chanceux. Au moment de l'acquisition d'Avast, il a été affirmé que CCleaner comptait 130 millions d'utilisateurs actifs, dont 15 millions sur Android. En raison du fait que l'infection n'était limitée qu'aux versions de CCleaner fonctionnant sur des PC Windows 32 bits, il semble qu'un nombre relativement faible d'utilisateurs de CCleaner a été affecté (seulement 700 000 machines, selon Cisco).

Objectifs de l'entreprise

Objectifs de l'entreprise

Bien qu'ils n'aient ciblé qu'un petit nombre d'utilisateurs de CCleaner, il est désormais apparu que les pirates tentaient très spécifiquement d'infecter les cibles de l'entreprise. Cette révélation a été découverte par des experts en sécurité qui ont analysé le serveur CnC utilisé par le pirate.

Des chercheurs de la division de sécurité de Cisco Talos affirment avoir trouvé des preuves que 20 grandes entreprises étaient spécifiquement ciblées pour l'infection. Parmi ces entreprises figurent Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link et Cisco lui-même. Selon Cisco, dans environ la moitié de ces cas, les pirates ont réussi à infecter au moins une machine. Cela a agi comme une porte dérobée pour leur serveur CnC afin de fournir une charge utile plus sophistiquée. Cisco estime que cet exploit était destiné à être utilisé pour l'espionnage d'entreprise.

Fait intéressant, selon Cisco et Kaspersky, le code malveillant contenu dans CCleaner partage du code avec des exploits utilisés par les pirates du gouvernement chinois connus sous le nom de Groupe 72 ou Axiom. Il est trop tôt pour le dire, mais cela peut signifier que la cyberattaque était une opération parrainée par l'État.

Craig Williams, directeur de recherche chez Talos, commente,

"Lorsque nous l'avons découvert au départ, nous savions qu'il avait infecté de nombreuses entreprises. Nous savons maintenant que cela a été utilisé comme un coup de filet pour cibler ces 20 entreprises dans le monde ... pour prendre pied dans des entreprises qui ont des choses précieuses à voler, y compris Cisco, malheureusement."

Cisco

Pris tôt

Heureusement, Piriform a pu repérer l'attaque suffisamment tôt pour l'empêcher de s'aggraver. Le vice-président de Piriform, Paul Yung, commente,

"À ce stade, nous ne voulons pas spéculer sur la façon dont le code non autorisé est apparu dans le logiciel CCleaner, d'où provient l'attaque, combien de temps elle a été préparée et qui l'a soutenu."

Cependant, Cisco n'a pas tardé à souligner que pour les entreprises ciblées (qu'elles ont déjà contactées), la simple mise à jour de CCleaner peut ne pas être suffisante, car la charge utile secondaire peut être dissimulée dans leurs systèmes. Il pourrait communiquer avec un serveur CnC distinct de celui qui a jusqu'à présent été découvert. Cela signifie qu'il est possible que encore plus d'exploits aient été livrés sur ces machines par les pirates.

Pour cette raison, Cisco recommande que toutes les machines potentiellement infectées soient restaurées avant que la version contaminée du logiciel Piriform ne soit installée sur elles..

Cclener Trojan

TR / RedCap.zioqa

Selon un utilisateur de CCleaner, appelé Sky87, ils ont ouvert CCleaner mardi pour vérifier quelle version ils avaient. À ce stade, le binaire 32 bits a été instantanément mis en quarantaine avec un message identifiant le malware comme TR / RedCap.zioqa. TR / RedCap.zioqa est un cheval de Troie déjà bien connu des experts en sécurité. Avira l'appelle,

"Un cheval de Troie capable d'espionner des données, de violer votre vie privée ou d'effectuer des modifications indésirables du système."

Que faire

Si vous êtes préoccupé par votre version de CCleaner, recherchez sur votre système une clé de registre Windows. Pour ce faire, accédez à: HKEY_LOCAL_MACHINE >LOGICIEL >Piriform >Agomo. Si le dossier Agomo est présent, il y aura deux valeurs, nommées MUID et TCID. Cela indique que votre machine est en effet infectée.

Il convient de noter que la mise à jour de votre système vers CCleaner version 5.34 ne supprime pas la clé Agomo du registre Windows. Il remplace uniquement les exécutables malveillants par des exécutables légitimes, afin que le malware ne présente plus de menace. En tant que tel, si vous avez déjà mis à jour la dernière version de CCleaner et voyez la clé Agomo, cela ne vous inquiète pas.

Pour tous ceux qui craignent que leur système soit infecté par une version du cheval de Troie TR / RedCap.zioqa, le meilleur conseil est d'utiliser l'outil gratuit de détection et de suppression des logiciels malveillants SpyHunter. Alternativement, il y a un guide étape par étape pour retirer le cheval de Troie ici.

Les opinions sont celles de l'auteur.

Crédit image titre: Capture d'écran du logo CCleaner.

Crédits image: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me